Cisco2620路由器的配置与维护.docx

1、Cisco2620路由器的配置与维护Cisco2620路由器的配置与维护 对于分布在多个不同场点的企业分部来说，如何访问中心场点服务器、获取相应的信息，是企业网络建设规划中不可缺少的一部分。本文以Cisco2620为例，讲述了路由器的初始化配置以及远程接入的配置方法，探讨了如何使用内部网络的DHCP服务功能为远程拨入的用户分配地址信息以及路由器常见故障的排除技巧。 （本文假定Cisco2620路由器为提供远程接入访问，已经配置了同步串行模块和异步串行16AM模块。） Cisco2620路由器的基本配置 1. 初始安装 第一次安装时系统会自动进入Dialog Setup，依屏幕提示，分别回答路由

2、器名称、加密超级登录密码、超级登录密码、远程登录密码、动态路由协议以及各个接口的配置后，保存配置。在出现路由器名称后，打入enable命令，键入超级登录密码，出现路由器名称（这里假设路由器名称为Cisco2620），待出现Cisco2620#提示符后，表示已经进入特权模式，此时就可以进行路由器的配置了。 2. 配置路由器 键入config terminal，出现提示符Cisco2620(config)#，进入配置模式。 (1) 设置密码 Cisco2620(config)#enable secret 123123：设置特权模式密码为123123 Cisco2620(config)#line c

3、onsole 0: 进入Console口配置模式 Cisco2620(config-line)#password 123123：设置Console口密码为123123 Cisco2620(config-line)#login：使console口配置生效 Cisco2620(config-line)#line vty 0 5：切换至远程登录口 Cisco2620(config-line)#password 123123：设置远程登录密码为123123 Cisco2620(config-line)#login：使配置生效 (2) 设置快速以太网口 Cisco2620(config)#interfa

4、ce fastFastethernet 0/0：进入端口配置模式 Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0：设置IP地址及掩码 Cisco2620(config-if)#no shutdown: 开启端口 Cisco2620(config-if)#exit：从端口配置模式中退出 (3) 设置同步串口 Cisco2620(config)#interface serial 0/0：进入同步串口设置 Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0：同步串口使用与快

5、速以太网口相同的IP地址 Cisco2620(config-if)#encapsulation ppp: 把数据链路层协议设为PPP (4) 设置16口Modem拨号模块，使用内部DHCP服务为拨入用户分配地址 Cisco2620(config)#interface Group-Async1 Cisco2620(config-if)# ip unnumbered FastEthernet0/0 Cisco2620(config-if)# encapsulation ppp Cisco2620(config-if)# ip tcp header-compression passive：启用被动I

6、P包头压缩 Cisco2620(config-if)# async mode dedicated:只在异步模式下工作 Cisco2620(config-if)# peer default ip address dhcp：将IP地址请求转发至DHCP服务器 Cisco2620(config-if)# ppp authentication chap：将认证设为CHAP Cisco2620(config-if)# group-range 33 48：拨号组包括16个口 Cisco的16AM模块提供了高密度的模拟电路接入方式，不在办公大楼的员工可以用Modem拨号联入局域网、登录服务器，实现远程办公。

7、 peer default ip address dhcp命令可以使拨入的工作站通过局域网内的DHCP服务器动态地获得IP地址，节约了IP地址资源，同时还接收了在DHCP服务器上配置的参数，比如DNS服务器的IP地址，并配合全局模式下配置的指向防火墙的静态路由，使工作站同时也可以通过防火墙访问Internet。 Cisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4：设置到防火墙的静态路由 (5) 对16AM模块物理特性的设置 Cisco2620(config)#line 33 48: 进入Modem 口线模式 Cisco2620(conf

8、ig-line)# session-timeout 30:超时设为30分钟 Cisco2620(config-line)# autoselect during-login：自动登录 Cisco2620(config-line)# autoselect ppp：自动选择PPP协议 Cisco2620(config-line)# login local：允许本地口令检查 Cisco2620(config-line)# modem InOut：允许拨入拨出 Cisco2620(config-line)# transport input all:指定传输协议 Cisco2620(config-line

9、)# stopbits 1：设置一位停止位 Cisco2620(config-line)# flowcontrol hardware：设置硬件流控制 (6) 添加拨号用户的用户名和密码 Cisco2620(config)#username shixuegang password abc123：增加用户名shixuegang，口令为abc123 (7) 启用rip路由 Cisco2620(config)#router rip：启用rip路由 Cisco2620(config-rout)#version 2：第二版本 Cisco2620(config-rout)#network xxx.xxx.x

10、xx.xxx：指定要转发数据包的网络号 Cisco2620路由器故障判断和故障排除 1. 判断以太端口故障 对于以太端口故障的诊断，可以用show interface fastFastethernet 0/0(对于以太端口0的诊断)命令，它用来检查一条链路的状态，可能出现的结果如下： 如果以太网端口工作正常，则出现如下显示：Fastethernet 0/0 is up, line protocol is up； 如果存在连接故障，比如路由器未接到LAN上，则出现：Fastethernet 0/0 is up, line protocol is down； 如果接口出现故障，则出现：Fastet

11、hernet 0/0 is down, line protocol is down (disable) ； 接口被人为地关闭，则出现：Fastethernet 0/0 is administratively down, line protocol is down; 此外，当怀疑端口有物理性故障时，可用show version命令，该命令将显示出物理性正常的端口，而出现物理性故障的端口将不被显示出来。 2. 判断同步串行端口故障 我们可以用show interface serial 0/0命令检查一条链路的状态，如出现Serial 0/0 is up, line protocol is up字样

12、，则表示工作正常；如出现serial 0/0 is up, line protocol is down字样，则表示端口无物理故障，但上层协议未通（IP、IPX、X25等，此时应查看路由器的配置命令，检查地址是否匹配）；如出现Serial 0/0 is down, line protocol is down (disable) 字样，则表示端口出现物理性故障，此时应更换端口；如出现Serial 0/0 is down, line protocol is down字样，则表示DCE设备（Modem/DTU）未送来载波/时钟信号；如出现Serial 0/0 is administratively d

13、own, line protocol is down字样，则表示接口被人为地关闭，可在配置状态中interface_mode下去掉shutdown命令。 3. 判断模拟线路故障 可以先用电话直接拨打路由器中继线号码，听见啸叫声则说明线路正常，反之则应先查看电话线路。排除线路故障后如依然无法正常工作，就应查看路由器关于16AM模块的配置命令，确定配置命令无误后，可采取如下方法： 将模块重新良好接地； 升级路由器IOS版本； 更换16AM模块。 Cisco2620路由器的密码恢复和灾难性恢复 在使用路由器的过程中，经常会出现忘记密码的情况。同时，在操作过程中有时会因为一些不可预料的原因，使路由器内

14、部的版本映像文件受到损坏，使路由器无法正常工作，导致路由器退回到监控状态，而使用常用的版本拷贝命令无法更新版本。这两个问题都是在日常维护中较为常见的问题。 1. 密码恢复 (1) 将路由器的Console口和计算机串口相连，启动计算机超级终端，开启路由器电源，在开机60秒内按ctrl+break 使路由器进入rom monitor 状态，并出现如下提示符： rommon1 (2) 重新配置组态寄存器。 rommon1confreg 当出现do you wish to change the configuration (y/n) 时选择y，当出现enable ignore system conf

15、iguration information(y/n) 时选择y。 (3) 重新启动路由器。 rommon1reset (4) 启动后进入特权模式，执行如下命令使原来的配置信息有效。 router(config)#config mem (5) 可以进一步查看密码或更改密码。 2. 版本的灾难性恢复 Cisco2620提供了两种灾难性恢复版本的方法:tftpdnld和xmodem方式。 (1) tftpdnld方式 将计算机串口和路由器Console口相连，计算机网口与路由器以太口（一定要与第一个以太口）相连。 启动TFTP服务器，将要下载的版本放于指定目录下面。 开启路由器电源，由于没有有效版本

16、，路由器启动后将直接进入监控模式。 Rommon1 按如下命令设置参数。 Rommon2IP_ADDRESS=192.168.1.6: 将192.168.1.6地址配置到路由器的第一个以太端口 Rommon3IP_SUBNET_MASK=255.255.255.0：设置掩码 Rommon4DEFAULT_GATEWAY=192.168.1.7：指定TFTP服务器地址 Rommon5TFTP_FILE=c2600-i-mz.121-3.T：指定IOS文件名 Rommon6tftpdnld：下载IOS文件 组态配置寄存器 Rommon7confreg 当出现do you wish to chang

17、e the configuration y/n时选择y，当出现 change the boot charaterist y/n时选择y，选择参数2。其他的选项选n。 启动版本 Rommon8 reset (2) xmodem 方式下载 该种方式下载不需要以太口电缆，只需超级终端即可。缺点是花费时间太多、速度太慢。xmodem是个人计算机通信中广泛使用的异步文件传输协议，以128字节块的形式传输数据，并且对每个块都进行校验，如果接受方校验正确，则发送认可信息，发送方发送下一个字块。 其具体步骤如下： 用超级终端与路由器连接后，启动路由器，路由器进入监控模式状态。 Rommon1 启动xmodem

18、 命令 Rommon2xmodem -cx?:敲入Enter键 当出现do you wish to continue时选择y 打开超级终端的“传送”菜单，选择传送文件，打开传送文件窗口。输入版本文件的位置，并选择xmodem 方式。 修改相应命令和选项，也可以以ymodem的方式进行传送。 以上述同样的方法配置confreg命令，重新启动后路由器会进入正常状态。 两种进入Cisco2620路由器 ROM 状态的方法 1. 如果break 未被屏蔽，可以在开机60秒内按ctrl+break 键中断启动过程，进入rom状态。 2. 将超级终端通信波特率设置为1200、数据位为8、奇偶位为1、停止位

19、无。开启路由器电源，启动后关机。停5秒后，重新开机，同时一直按住空格键12秒后放开，等路由器启动完成后，重新更改超级终端位默认值。通信波特率设置为9600、数据位为8、奇偶位为1、停止位无 。重新连接后，从终端上可以看到已经进入rom 状态。注意在波特率为1200时终端上没有内容显示。 除了上述功能外，Cisco路由器还可通过IOS软件的升级, 在不改动硬件的条件下实现更多、更强大的功能，在满足客户不断增长的需求的同时保护了硬件投资。但这样做也同样增加了配置及管理的难度，同时对网络管理员也提出了更高的要求。因此如何让网络设备高效、可靠地工作，尽量减小维护的工作量，有待于我们在实践中进一步探索。

20、 格尔信息安全论坛 为信息安全的建设建立安全风险评估机制 伴随着我国加入WTO以及全球信息化的发展，计算机信息系统的安全建设越来越受重视，同时我国的政府与企业也已经深刻地认识到了信息安全风险评估的重要性，并努力通过实践来建立、健全和完善计算机信息系统的安全风险评估机制。 安全风险评估是信息系统安全防范体系的建设依据，风险评估的目的在于指出信息系统的风险所在、防范风险的代价、风险可能造成的损失，并最终依据后两者的比较制定信息安全保障体系。需要密切关注的是，防范风险的代价和风险可能造成的损失是不断变化的，信息安全保障体系的完善是建立在阶段建设目标的不断修正和补充基础之上的。 在信息安全风险评估的需

21、求方面，金融企业尤为急迫。金融企业一直以来都是信息技术发展的领路人，但是其信息安全的建设远远滞后于信息系统自身的建设。在金融企业逐渐认识到信息安全保障体系建设的必要性的同时，也意识到单凭直观感觉而制定的信息安全建设目标缺乏科学依据，不能对长期的信息安全建设提供指导作用。金融企业将再一次承担起领路人的角色，当然这是由其自身信息系统具备的基础决定的。 安全风险评估分如下几个过程： 1. 评估阶段。信息系统将接受各种评估工具的检测和调查，被评估的对象包括网络架构、应用系统、运行与安全管理、人员、安全策略等，评估的结果将反映信息系统在各个方面的威胁和脆弱性。 2. 评估信息智能化处理阶段。需要对不同的

22、评估工具所得出的原始评估数据进行深入挖掘，一方面，这些数据复杂、多样，而且会不断增加，因此需要按照统一的标准进行管理; 另一方面，这些数据内在的联系需要通过数据挖掘进行归纳分析和综合分析。 3. 解决方案与后续建设目标阶段。根据评估信息分析的结果，制定相应的建设目标与方案，其核心是把风险的价值与保护风险的价值进行比较。交换机的一个重要的功能是避免交换循环，这就涉及到了STP（Spanning Tree Protocol，分支树协议）。分支树协议的功能是避免数据帧在交换机构成的网络中循环传送。如下图所示，如果网络中有冗余链路的话，STP协议现选出根交换机（Route Bridge），然后确定每一

23、台非根交换机到根交换机之间的路径，最后，将此路径上的所有链路置成转发（Forward）状态，其余的交换机之间的连接就是冗余链路，置为阻塞（Block）状态。 交换机的另外一个重要功能是VLAN（Virtual LAN，虚拟局域网）。VLAN的好处主要有三个： 端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。 网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。 灵活的管理。更改用户所属的网络不必换端口和联线，只该软件配置就可以了。 VLAN可以按端口或MAC地址来划分。 有时，我们需要在交换机所构成的网络上保

24、持VLAN的配置的一致性。这就需要交换机之间按照VTP（VLAN Trunk Protocol，VLAN骨干协议）交流VLAN信息。VTP协议只在骨干端口（Trunk Port），即交换机之间的端口上运行。 路由 路由器是网络间的连接设备，它重要工作之一是路径选择。这个功能是路由器智能的核心，它是由管理员的配置和一系列的路由算法实现的。 路由算法有动静之分，静态路由是一种特殊的路由，它是由管理员手工设定的。手工配置所有的路由虽然可以使网络正常运转，但是也会带来一些局限性。网络拓扑发生变化之后，静态路由不会自动改变，必须有网络管理员的介入。缺省路由是静态路由的一种，也是由管理员设置的。在没有找到

25、目标网络的路由表项时，路由器将信息发送到缺省路由器（gateway of last resort）。而动态的算法，顾名思义，是由路由器自动计算出的路由，常说的RIP、OSPF等等都是动态算法的典型代表。 另外还可以将路由算法分为DV和LS两种。DV（Distance，距离向量）算法将当前路由器的路由信息传送给相邻路由器，相邻路由器将这些信息加入自身的路由表。而LS（Link State，链路状态）算法将链路状态信息传给域内所有的路由器，接收路由器利用这些信息构建网络拓扑图，并利用图论中的最短路径优先算法决定路由。相比之下，距离向量算法比较简单，而链路状态算法较为复杂，占用的CPU和内存也要多一

26、些。但是由于链路状态算法采用的是自身的计算结果，所以比较不容易产生路由循环。RIP是DV类算法的典型代表，而OSPF是LS的代表协议。 四种最常见路由协议是RIP、IGRP、OSPF和EIGRP。 RIP（Routing Information Protocols，路由信息协议）是使用最广泛的距离向量协议，它是由施乐（Xerox）在70年代开发的。当时，RIP是XNS（Xerox Network Service，施乐网络服务）协议簇的一部分。TCP/IP版本的RIP是施乐协议的改进版。RIP最大的特点是，无论实现原理还是配置方法，都非常简单。RIP基于跳数计算路由，并且定期向邻居路由器发送更新

27、消息。 IGRP是CISCO专有的协议，只在CISCO路由器中实现。它也属于距离向量类协议，所以在很多地方与RIP有共同点，比如广播更新等等。它和RIP最大的区别表现在度量方法、负载均衡等几方面。IGRP支持多路径上的加权负载均衡，这样网络的带宽可以得到更加合理的利用。另外，与RIP仅使用跳数作为度量依据不同，IGRP使用了多种参数，构成复合的度量值，这其中可以包含的因素有：带宽、延迟、负载、可靠性和MTU（最大传输单元）等等。 OSPF协议是80年代后期开发的，90年代初成为工业标准，是一种典型的链路状态协议。OSPF的主要特性包括：支持VLSM（变长的子网掩吗）、收敛迅速、带宽占用率低等等

28、。OSPF协议在邻居之间交换链路状态信息，以便路由器建立链路状态数据库（LSD），之后，路由器根据数据库中的信息利用SPF（Shortest Path First，最短路径优先）算法计算路由表，选择路径的主要依据是带宽。 EIGRP是IGRP的增强版，它也是CISCO专有的路由协议。EIGRP采用了扩散更新（DUAL）算法，在某种程度上，它和距离向量算法相似，但具有更短的收敛时间和更好的可操作性。作为对IGRP的扩展，EIGRP支持多种可路由的协议，如IP、IPX和AppleTalk等等。运行在IP环境时，EIGRP还可以与IGRP进行平滑的连接，因为它们的度量方法是一致的。 以上四种路由协议

29、都是域内路由协议，他们通常使用在自治系统的内部。当进行自治系统间的连接时，往往采用诸如BGP（Border Gateway Protocols，边界路由协议）和EGP（External Gateway Protocols，外部路由协议）这样的域间路由协议。目前在Internet上使用的域间路由协议是BGP第四版。 收敛是路由算法选择时所遇到的一个重要问题。收敛时间是指从网络的拓扑结构发生变化到网络上所有的相关路由器都得知这一变化，并且相应地做出改变所需要的时间。这一时间越短，网络变化对全网的扰动就越小。收敛时间过长会导致路由循环的出现。 在上述几种域内路由算法中，RIP和IGRP的收敛时间相对

30、较长，都是分钟数量级的；OSPF要短一些，数十秒内可以收敛；EIGRP最短，网络拓扑发生变化之后，几秒钟即可达到收敛状态。全交换园区网络 传统的园区网络是路由器加交换机的结构。如下图所示，交换机负责网络内部的传输，划分VLAN以保证二层的安全性和灵活性，路由器则完成网间的寻址和数据转发工作。 通常，路由器的性能比交换机要差一些，因为路由器是基于软件的查表转发，而交换机可以实现硬件的直通式转发。但在传统的园区网络中，路由器并不会成为网络的瓶颈。因为80%的数据量是在网络内部的通讯，只有20%的数据是做远程访问，也就是说，大多数经过交换机的信息并不经过路由器。这就是传统网络的80/20流量模型。近

31、年来由于Internet/Intranet计算模式的兴起，应用被集中管理，而不是象从前那样分散在各个部门的网络中，园区网络的流量模型发生了很大的变化。大量的网络访问是远程的，也就是要经过路由器的。这被称为新的20/80流量模型。因此，路由器逐渐成为网络的瓶颈。为了从技术上解决这个问题，网络厂商开发了三层交换机，也叫做路由交换机。它是传统交换机的性能和路由器的智能的结合。路由选择仍由路由器完成，但路选的结果被交换机保留在自身的路由缓存中。这样，一个数据流中的第一个数据包经过路由器，后继的所有数据包直接由交换机查表转发。得益于硬件转发，三层交换机可以做到线速路由，如下图所示。 许多厂家生产的三层交换机本身即是交换机和路由器的结合体，如Cisco的5000，5500，6500系列